Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Souveraineté des données dans la base industrielle de défense : ce que les sous-traitants doivent savoir

Souveraineté des données dans la base industrielle de défense : ce que les sous-traitants doivent savoir

par Danielle Barbour updated mars 4, 2026 Conformité CMMC
temps de lecture: 9 minutes

Dans la plupart des secteurs, la conformité en matière de souveraineté des données se résume à une question géographique : où les données peuvent-elles résider et quelles lois s’y appliquent ? Pour les sous-traitants de la défense, cette question est nécessaire, mais insuffisante. La souveraineté dans le Defense Industrial Base (DIB) repose sur deux axes simultanés : des restrictions géographiques sur l’emplacement des données contrôlées, et des restrictions d’autorisation sur les personnes pouvant y accéder, y compris les ressortissants étrangers présents aux États-Unis. Se tromper sur l’un ou l’autre de ces axes n’entraîne pas une simple amende réglementaire, mais la perte de contrats, une possible exclusion des marchés publics, voire, dans les cas graves, des poursuites pénales.

Cet article explique le fonctionnement de la souveraineté des données dans la défense, ses différences avec d’autres secteurs, les cadres réglementaires qui l’encadrent, et les contrôles permettant de satisfaire ces deux axes.

Résumé Exécutif

À retenir : La souveraineté des données pour les sous-traitants de la défense repose sur deux axes. Le premier est géographique : les données techniques contrôlées CUI et ITAR doivent être hébergées sur une infrastructure sous juridiction américaine, et les fournisseurs cloud soumis à des lois d’accès gouvernemental étranger exposent directement à des risques de souveraineté, quel que soit l’emplacement des serveurs. Le second est basé sur l’autorisation : l’ITAR interdit l’accès aux données techniques contrôlées par des personnes étrangères, indépendamment de leur localisation — une exigence de souveraineté centrée sur la personne, sans équivalent dans le RGPD, HIPAA ou tout autre cadre civil. CMMC, ITAR et FedRAMP sont les mécanismes d’application qui régissent ces deux axes.

Pourquoi c’est important : D’ici 2026, tous les contrats du DoD exigeront la certification CMMC appropriée. Les violations de l’ITAR entraînent des sanctions pouvant aller jusqu’à 1 million de dollars par infraction et une responsabilité pénale pour les dirigeants. La non-conformité signifie la perte de contrats et l’exclusion du marché de la défense — pas une amende absorbable.

Points Clés

  1. La souveraineté des données dans la défense présente deux dimensions absentes des cadres civils. Les restrictions géographiques déterminent où le CUI peut résider. Les restrictions centrées sur la personne déterminent qui peut y accéder — y compris les ressortissants étrangers présents aux États-Unis. La plupart des cadres civils ne traitent que la première dimension.
  2. Le CLOUD Act crée un risque de souveraineté géographique même pour les données stockées localement. Le CUI hébergé chez un fournisseur cloud américain est soumis à une requête gouvernementale américaine, quel que soit le pays où se trouve le serveur. Le chiffrement géré par le client est le seul contrôle permettant de combler cette faille.
  3. La règle d’exportation présumée de l’ITAR étend la souveraineté à la main-d’œuvre. Montrer des données techniques contrôlées par l’ITAR à un salarié étranger aux États-Unis équivaut légalement à les exporter vers son pays d’origine — sans déplacement physique des données.
  4. Le CMMC est une exigence de souveraineté pour toute la supply chain, pas seulement pour le contractant principal. La posture de souveraineté d’un contractant principal est compromise si un sous-traitant stocke du CUI sur une infrastructure non conforme ou exposée à l’étranger.
  5. Le chiffrement géré par le client fait le lien entre souveraineté géographique et d’autorisation. Si le fournisseur cloud ne détient aucune clé de déchiffrement, une requête gouvernementale ne donne accès qu’à des données chiffrées et inaccessibles. Le support BYOK/BYOE du Réseau de données privé de Kiteworks comble cette faille pour les sous-traitants de la défense.

En quoi la souveraineté des données dans la défense diffère-t-elle des autres secteurs ?

Dans la santé, les services financiers et l’entreprise en général, la souveraineté des données est avant tout géographique : les données concernant des individus d’une juridiction donnée sont soumises aux lois de cette juridiction, doivent souvent rester dans ses frontières et peuvent être consultées par son gouvernement selon des procédures légales définies. Le RGPD, HIPAA, la PIPL chinoise s’organisent autour de l’emplacement des données et des droits des individus. La défense partage cette dimension géographique, mais ajoute des restrictions d’accès centrées sur la personne, sans équivalent civil :

Dimension Défense (DIB) Santé Services financiers
Déclencheur principal de souveraineté Type de données (CUI, données techniques ITAR) + qui peut y accéder Où se trouve la personne concernée ; sensibilité des données (informations médicales protégées) Où se trouve la personne concernée ; règles de résidence propres au secteur
Exigence géographique Infrastructure sous juridiction américaine ; cloud autorisé FedRAMP pour le CUI Résidence spécifique à la juridiction (RGPD, lois nationales de santé) Résidence spécifique à la juridiction (RGPD, réglementations sectorielles)
Restriction centrée sur la personne Oui — l’ITAR interdit l’accès des personnes étrangères aux données techniques contrôlées, quel que soit le lieu Non — tout utilisateur autorisé peut y accéder, quelle que soit sa nationalité Non — tout utilisateur autorisé peut y accéder, quelle que soit sa nationalité
Mécanisme d’application Certification CMMC, licence ITAR, autorisation FedRAMP, clauses contractuelles DFARS Application HIPAA, amendes des autorités de contrôle RGPD Amendes des régulateurs sectoriels, application RGPD
Conséquence d’une violation Perte de contrat, exclusion, sanctions ITAR jusqu’à 1 M$/violation, responsabilité pénale Sanctions financières, restrictions opérationnelles, atteinte à la réputation Sanctions financières, restrictions d’accès au marché

La combinaison de ces deux axes — exigences de résidence géographique et restrictions d’accès centrées sur la personne — à travers une supply chain multi-niveaux fait de la défense l’environnement de souveraineté le plus complexe pour toute organisation.

Feuille de route conformité CMMC 2.0 pour les sous-traitants DoD

Lire l’article

Axe 1 : Où les données de défense peuvent-elles résider ?

La question de souveraineté géographique pour les sous-traitants de la défense porte sur un enjeu précis : garantir que les données contrôlées ne puissent pas être atteintes par des gouvernements étrangers ou des acteurs malveillants via l’infrastructure sur laquelle elles sont hébergées. Cela va bien au-delà du choix d’un data center dans le bon pays.

L’exigence d’infrastructure

Les informations non classifiées contrôlées doivent être stockées sur des systèmes conformes aux exigences CMMC 2.0. Pour les déploiements cloud, cela signifie la conformité FedRAMP — la validation par le gouvernement fédéral que les contrôles de sécurité, les pratiques de résidence des données et la gestion des accès du fournisseur cloud répondent aux standards requis pour le CUI. Un sous-traitant de la défense utilisant un cloud non FedRAMP pour le CUI présente une faille de souveraineté, quel que soit l’emplacement des serveurs du fournisseur. Au-delà de l’autorisation, la réglementation des acquisitions du DoD interdit explicitement certaines infrastructures de télécommunications étrangères — un fournisseur détenu par la Chine ou la Russie, même via une filiale, expose à un accès gouvernemental étranger qu’aucune politique de conformité ne peut éliminer.

Le problème du CLOUD Act

Le CLOUD Act américain autorise les forces de l’ordre américaines à exiger d’un fournisseur cloud basé aux États-Unis qu’il fournisse les données clients, où qu’elles soient stockées dans le monde. Pour les sous-traitants de la défense, cela crée une double exposition : les données chez un fournisseur cloud américain sont soumises à une requête gouvernementale américaine, quelle que soit la localisation ; les données chez un fournisseur basé à l’étranger peuvent être soumises aux lois d’accès de ce pays. La conformité à la résidence des données détermine où elles résident — le chiffrement géré par le client garantit que seules les personnes autorisées peuvent les lire. Si le sous-traitant détient toutes les clés de déchiffrement via BYOK ou BYOE, une requête CLOUD Act adressée au fournisseur ne donne accès qu’à des données chiffrées et inexploitables.

Axe 2 : Qui peut accéder aux données de défense ?

C’est ici que la souveraineté des données dans la défense diffère le plus des cadres civils. Les règles ITAR sur les personnes étrangères considèrent qui peut accéder aux données contrôlées comme une question de souveraineté — et pas seulement de sécurité — avec des obligations de conformité sans équivalent dans le RGPD, HIPAA ou tout autre cadre sectoriel.

La règle d’exportation présumée de l’ITAR

La conformité ITAR impose de comprendre que « personne étrangère » désigne toute personne qui n’est ni citoyen américain, ni résident permanent, ni individu protégé au sens de l’Immigration and Nationality Act. La règle d’exportation présumée considère que donner accès à un salarié étranger à des données techniques contrôlées ITAR aux États-Unis équivaut légalement à les exporter vers son pays d’origine — déclenchant les mêmes exigences de licence que pour un envoi physique à l’étranger. Aucun transfert de données requis. Aucune violation de sécurité requise. L’accès en lui-même constitue la violation.

Cela crée des obligations de souveraineté sur la main-d’œuvre sans équivalent civil. Les sous-traitants de la défense doivent connaître non seulement qui a accès au système, mais aussi le statut de citoyenneté de chaque personne susceptible de consulter des données techniques contrôlées — et cela s’étend au personnel du fournisseur cloud : si les administrateurs système du fournisseur incluent des ressortissants étrangers ayant un accès au niveau de l’infrastructure hébergeant des données ITAR, il y a risque de violation d’exportation présumée.

Les trois catégories de données et leurs règles d’accès

Les trois principales catégories de données de défense impliquent chacune des obligations de souveraineté distinctes :

Catégorie de données Définition Cadre réglementaire Restriction d’accès clé
Federal Contract Information (FCI) Informations fournies ou générées pour le gouvernement dans le cadre d’un contrat, non destinées à être rendues publiques FAR 52.204-21, CMMC Niveau 1 Ne doit pas être divulguée hors de la relation contractuelle ; contrôles d’accès de base requis
Controlled Unclassified Information (CUI) Informations sensibles désignées par le gouvernement nécessitant une protection légale, réglementaire ou politique DFARS 252.204-7012, CMMC Niveau 2, conformité NIST 800-171 Accès selon le besoin de savoir ; infrastructure cloud autorisée FedRAMP ; ensemble complet de contrôles CMMC Niveau 2
Données techniques ITAR Informations directement liées à des articles de défense figurant sur la U.S. Munitions List — schémas, conceptions, spécifications, logiciels Conformité ITAR, appliquée par le State Dept. DDTC Aucun accès par des personnes étrangères (réservé aux personnes américaines sauf licence d’exportation) ; catégorie la plus restrictive

Le cadre d’application

Le CMMC 2.0 est l’exigence de souveraineté pour la supply chain. Tout sous-traitant du DIB manipulant du CUI doit mettre en œuvre — et démontrer via une évaluation tierce au niveau 2 — des contrôles sur l’accès, le chiffrement, les journaux d’audit et la réponse aux incidents. Les 110 contrôles du niveau 2 s’alignent sur la conformité NIST 800-171 ; les 145 contrôles du niveau 3, basés sur NIST 800-172, couvrent les programmes les plus critiques. D’ici 2026, tous les contrats DoD impliquant du CUI exigeront la certification appropriée — l’éligibilité contractuelle en dépend.

L’ITAR, appliqué par la Directorate of Defense Trade Controls du Département d’État, régit l’exportation et le transfert des articles de défense et des données techniques figurant sur la U.S. Munitions List. Il est centré sur la personne là où le CMMC est centré sur les contrôles : les sanctions atteignent 1 million de dollars par infraction, exclusion et responsabilité pénale pour les dirigeants. Un sous-traitant peut satisfaire à tous les contrôles CMMC et néanmoins commettre une violation ITAR en permettant à un salarié étranger d’accéder à un schéma de système d’armes.

La conformité FedRAMP valide la souveraineté géographique pour l’infrastructure cloud. Les clauses DFARS 252.204-7012 et FAR 52.204-21 constituent la couche contractuelle, intégrant la conformité NIST 800-171 dans les contrats et ajoutant une obligation de déclaration d’incident sous 72 heures. La non-conformité DFARS peut entraîner une responsabilité au titre du False Claims Act, et pas seulement la résiliation du contrat.

Où les sous-traitants de la défense se trompent sur la souveraineté des données

Le problème du fournisseur cloud. Utiliser un cloud commercial sans autorisation FedRAMP pour le CUI, ou sans chiffrement géré par le client, expose sur les deux axes de souveraineté. L’exemple BitLocker de Microsoft — où Microsoft a confirmé avoir fourni au FBI les clés de chiffrement permettant de déverrouiller des appareils clients — illustre le problème structurel : si le fournisseur cloud détient vos clés de chiffrement, toute requête d’accès donne accès à votre CUI. Infrastructure autorisée FedRAMP et chiffrement géré par le client sont indispensables.

Le problème du salarié étranger. Les sous-traitants de la défense ayant une main-d’œuvre internationale qui s’appuient sur la politique RH plutôt que sur des contrôles techniques d’accès pour appliquer les restrictions ITAR sont à une mauvaise configuration près d’une violation d’exportation présumée. Les contrôles d’accès basés sur les rôles et la gestion des droits numériques au niveau du document sont la mise en œuvre technique de la règle d’exportation présumée — et non des substituts.

Le problème de la supply chain. Un contractant principal peut être entièrement certifié CMMC tout en partageant du CUI avec un sous-traitant qui ne l’est pas. L’enquête Kiteworks 2025 menée auprès de 104 organisations en cours de certification CMMC révèle que 62 % n’avaient pas de contrôles de gouvernance adaptés et que seulement 22 % mettaient en œuvre des exigences contractuelles de sécurité avec leurs fournisseurs. Les clauses contractuelles formalisent l’obligation — seuls les contrôles techniques la rendent effective. Consultez la checklist de conformité CMMC pour un aperçu complet des exigences supply chain.

Le problème de la collaboration. Le partage standard de fichiers avec des fournisseurs, partenaires ou alliés étrangers sous licence d’exportation transfère les données dans l’environnement du destinataire — et donc sous sa juridiction. Les outils de collaboration sans transfert de possession, qui permettent de visualiser les documents sans transférer les fichiers, éliminent totalement le risque de souveraineté.

Comment Kiteworks répond à la souveraineté des données dans la défense

La souveraineté des données dans la défense est une problématique à deux axes. L’axe géographique — où résident les données, sur quelle infrastructure, quel gouvernement peut en exiger l’accès — ressemble aux enjeux du RGPD ou de l’HIPAA, avec l’autorisation FedRAMP et le chiffrement géré par le client comme principaux contrôles. L’axe d’autorisation — l’interdiction ITAR d’accès par des personnes étrangères, quel que soit le lieu — n’a pas d’équivalent civil et nécessite une application technique que la politique seule ne peut garantir.

Le Réseau de données privé Kiteworks répond à ces deux axes via une plateforme unique, conçue pour le DIB.

Sur l’axe géographique : la conformité FedRAMP avec autorisation Moderate fournit l’infrastructure cloud validée pour le CUI. Une architecture à locataire unique élimine tout mélange de données. Le chiffrement géré par le client (BYOK/BYOE) avec chiffrement validé FIPS 140-3 Niveau 1, AES-256 au repos et TLS 1.3 en transit comble la faille du CLOUD Act — ni Kiteworks ni aucun fournisseur cloud ne peut accéder aux données clients sous contrainte. Le déploiement couvre le sur site, l’IaaS, le cloud autorisé FedRAMP et l’hybride selon les besoins des programmes.

Sur l’axe d’autorisation : les contrôles d’accès basés sur les rôles appliquent le besoin de savoir au niveau système. SafeEDIT DRM permet la collaboration sans transfert de possession — fournisseurs, partenaires et alliés étrangers sous licence d’exportation peuvent visualiser et annoter les documents CUI et ITAR sans que les fichiers ne quittent jamais le périmètre de sécurité du sous-traitant. Un journal d’audit unifié et immuable trace tous les mouvements de CUI et FCI à travers le partage de fichiers, MFT, SFTP, e-mail et formulaires web — consultable via le tableau de bord RSSI, exportable vers votre SIEM, et directement compatible avec les évaluations C3PAO. Kiteworks couvre près de 90 % des exigences CMMC 2.0 Niveau 2 en standard, réduisant considérablement les délais et coûts de certification.

Pour en savoir plus sur la conformité souveraineté des données pour les sous-traitants de la défense, réservez une démo personnalisée dès maintenant.

Foire aux questions

Le RGPD et l’HIPAA sont des cadres géographiques et fondés sur les droits — ils déterminent où résident les données et quels droits les individus ont sur celles-ci. La défense ajoute un second axe sans équivalent civil : les restrictions centrées sur la personne de l’ITAR, interdisant l’accès des ressortissants étrangers aux données techniques contrôlées, quel que soit le lieu. Les sous-traitants de la défense sont également confrontés à des conséquences sur l’éligibilité contractuelle, et non à de simples sanctions financières, et doivent prouver leur conformité sur l’ensemble de la supply chain. L’ensemble réglementaire — CMMC, ITAR, FedRAMP et DFARS — s’applique simultanément, et non comme des alternatives.

Probablement pas à lui seul. L’emplacement local du data center répond à l’exigence de résidence, mais trois conditions supplémentaires s’appliquent : le fournisseur doit être autorisé FedRAMP au niveau requis ; le chiffrement géré par le client doit combler la faille du CLOUD Act (si le fournisseur détient vos clés, une requête gouvernementale peut accéder à votre CUI) ; et le personnel et les sous-traitants du fournisseur ne doivent pas créer d’exposition ITAR au niveau de l’infrastructure.

La règle d’exportation présumée de l’ITAR considère que l’accès d’un salarié étranger à des données techniques contrôlées ITAR équivaut légalement à leur exportation vers son pays d’origine — même dans vos bureaux américains. Cela exige une application technique : les contrôles d’accès basés sur les rôles doivent empêcher l’accès au niveau système, et pas seulement via la politique RH. Il vous faut une classification et un étiquetage du contenu pour que le système identifie ce qui est contrôlé ITAR, associés à des contrôles d’accès basés sur l’identité et le statut de personne américaine.

Oui, de façon significative. Selon DFARS 252.204-7012 et CMMC, les contractants principaux doivent imposer les exigences de sécurité aux sous-traitants traitant du CUI. La certification du principal ne le protège pas d’une faille de souveraineté chez un sous-traitant — si le CUI est transféré à un sous-traitant utilisant une infrastructure non conforme, vous créez une rupture de la chaîne de garde qui affecte votre propre conformité. Consultez la checklist de conformité CMMC pour l’ensemble des exigences supply chain.

Elles couvrent des couches différentes du même ensemble de souveraineté. La conformité FedRAMP valide l’infrastructure cloud elle-même — certifiant que les contrôles, pratiques de résidence et gestion des accès du fournisseur répondent aux standards fédéraux pour l’hébergement du CUI. La certification CMMC valide les pratiques de sécurité du sous-traitant — la façon dont l’organisation gère, stocke et transfère le CUI dans ses opérations et sa supply chain. FedRAMP est une exigence pour l’outil ; CMMC est une exigence pour l’organisation qui l’utilise. Les deux sont nécessaires pour une conformité souveraineté totale.

Ressources complémentaires 

  • Article de blog
    Souveraineté des données : bonne pratique ou exigence réglementaire ?
  • eBook
    Souveraineté des données et RGPD
  • Article de blog
    Évitez ces pièges de la souveraineté des données
  • Article de blog &
    Bonnes pratiques de souveraineté des données
  • Article de blog
    Souveraineté des données et RGPD [Comprendre la sécurité des données]

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks